PolarEdge Botnet

सुरक्षा शोधकर्ताओं ने हाल ही में पोलरएज नामक एक राउटर-केंद्रित बॉटनेट परिवार की कार्यप्रणाली का खुलासा किया है। टीएलएस-आधारित संचार, एम्बेडेड कॉन्फ़िगरेशन ट्रिक्स और जानबूझकर किए गए एंटी-एनालिसिस उपायों का इसका संयोजन इसे घरेलू और एसएमबी नेटवर्क उपकरणों के लिए एक उल्लेखनीय खतरा बनाता है।

समयरेखा और खोज

शोधकर्ताओं ने पहली बार फरवरी 2025 में पोलरएज का दस्तावेजीकरण किया था, और इसे कई विक्रेताओं के राउटर और NAS उपकरणों को लक्षित करने वाले अभियानों से जोड़ा था। अगस्त 2025 तक, विश्लेषकों ने बॉटनेट के अधिकांश बुनियादी ढाँचे का मानचित्रण कर लिया था और ऑपरेशनल रिले बॉक्स (ORB) शैली के नेटवर्क के अनुरूप लक्षण देखे थे। पूर्वव्यापी टेलीमेट्री से पता चलता है कि पोलरएज की कुछ गतिविधियाँ जून 2023 तक की हो सकती हैं।

लक्ष्य और प्रारंभिक पहुँच

सिस्को, एएसयूएस, क्यूएनएपी और सिनोलॉजी सहित प्रमुख विक्रेताओं के उपकरणों को लक्ष्य के रूप में पहचाना गया है, जिससे यह पता चलता है कि उद्यम-स्तर और उपभोक्ता-स्तर दोनों राउटर और एनएएस सिस्टम शोषण के जोखिम में हैं।

फरवरी 2025 के आक्रमण श्रृंखलाओं में, खतरे वाले अभिनेताओं ने एक ज्ञात सिस्को भेद्यता (CVE-2023-20118) का फायदा उठाकर 'q' नामक एक छोटी FTP-प्रदत्त शेल स्क्रिप्ट प्राप्त की। उस स्क्रिप्ट की भूमिका समझौता किए गए होस्ट पर पोलारएज ELF बैकडोर को पुनः प्राप्त करना और लॉन्च करना था।

कोर इम्प्लांट डिज़ाइन

पोलारएज एक टीएलएस-सक्षम ईएलएफ इम्प्लांट है जो मुख्य रूप से:

• होस्ट फ़िंगरप्रिंट को कमांड-एंड-कंट्रोल (C2) सर्वर पर भेजता है, फिर
• mbedTLS v2.8.0 का उपयोग करके कार्यान्वित अंतर्निहित TLS सर्वर पर आदेशों की प्रतीक्षा करता है।

इम्प्लांट का डिफ़ॉल्ट व्यवहार एक कस्टम बाइनरी प्रोटोकॉल का उपयोग करके TLS सर्वर के रूप में कार्य करना है। एक प्रमुख प्रोटोकॉल फ़ील्ड HasCommand है: जब यह फ़ील्ड ASCII वर्ण 1 के बराबर होता है, तो इम्प्लांट Command फ़ील्ड को पढ़ता है, निर्दिष्ट कमांड को स्थानीय रूप से निष्पादित करता है, और C2 को रॉ कमांड आउटपुट लौटाता है।

संचालन के तरीके

पोलारएज दो अतिरिक्त मोड का समर्थन करता है:

कनेक्ट-बैक मोड : इम्प्लांट दूरस्थ सर्वर से फ़ाइलें खींचने के लिए TLS क्लाइंट के रूप में कार्य करता है।

डिबग मोड : एक इंटरैक्टिव मोड जो ऑपरेटरों को कॉन्फ़िगरेशन पैरामीटर (उदाहरण के लिए, सर्वर पते) को तुरंत बदलने की अनुमति देता है।

एम्बेडेड कॉन्फ़िगरेशन और अस्पष्टीकरण

बॉटनेट अपने रनटाइम कॉन्फ़िगरेशन को ELF इमेज के अंतिम 512 बाइट्स में संग्रहीत करता है। यह ब्लॉक एक सिंगल-बाइट XOR द्वारा अस्पष्ट होता है; शोधकर्ताओं के अनुसार, XOR कुंजी 0x11 है, जिसे कॉन्फ़िगरेशन को पुनर्प्राप्त करने के लिए लागू किया जाना चाहिए।

फ़ाइल संचालन

निष्पादन के बाद, इम्प्लांट फ़ाइल सिस्टम को स्थानांतरित और हटाता है (उदाहरणों में /usr/bin/wget और /sbin/curl जैसी बाइनरी फ़ाइलों को स्थानांतरित करना, और /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak जैसी फ़ाइलों को हटाना शामिल है)। उपलब्ध आंकड़ों से इन क्रियाओं के पीछे का सटीक परिचालन उद्देश्य पूरी तरह से समझा नहीं जा सका है।

चोरी और विश्लेषण-विरोधी तकनीकें

पोलारएज में कई प्रकार के परिष्कृत रक्षात्मक तंत्र शामिल हैं, जिन्हें पता लगाने से बचने और विश्लेषण में बाधा डालने के लिए डिज़ाइन किया गया है, जिससे सुरक्षा शोधकर्ताओं और स्वचालित उपकरणों के लिए इसके व्यवहार की पहचान करना और इसके आंतरिक कामकाज का विश्लेषण करना अधिक कठिन हो जाता है।

यह अस्पष्टीकरण के माध्यम से अपने TLS सर्वर आरंभीकरण और फिंगरप्रिंटिंग रूटीन के विवरण को छुपाता है।

स्टार्टअप के दौरान, यह प्रक्रिया छद्मावरण करता है, तथा वैध सिस्टम सेवाओं के साथ मिश्रण करने के लिए अंतर्निहित सूची से यादृच्छिक रूप से एक प्रक्रिया नाम चुनता है।

कुछ संभावित नाम इस प्रकार हैं:

• आईजीएमपीप्रॉक्सी
• डब्ल्यूएससीडी
• /एसबीआईएन/डीएचसीपीडी
• httpd
• यूपीएनपीडी
• मैं एप

क्लासिक दृढ़ता के बिना लचीलापन

ऐसा प्रतीत होता है कि PolarEdge कोई पारंपरिक दृढ़ता तंत्र स्थापित नहीं करता जो रीबूट के बाद भी बना रहे। इसके बजाय, यह एक रनटाइम ट्रिक करता है: यह फोर्क करता है और चाइल्ड प्रोसेस हर 30 सेकंड में पोल करता है ताकि यह पता लगाया जा सके कि पैरेंट की /proc/ निर्देशिका अभी भी मौजूद है या नहीं। यदि वह निर्देशिका गायब हो जाती है (यह दर्शाता है कि पैरेंट प्रोसेस गायब हो गई है), तो चाइल्ड प्रोसेस बैकडोर को फिर से शुरू करने के लिए एक शेल कमांड चलाता है, जिससे स्थायी बूट-टाइम दृढ़ता के बजाय प्रभावी रूप से अवसरवादी रनटाइम रिकवरी मिलती है।

रक्षात्मक टेकअवे

राउटर और NAS उपकरणों का प्रबंधन करने वाले संगठनों को यह सुनिश्चित करना चाहिए कि वे CVE-2023-20118 और इसी तरह की दूरस्थ निष्पादन कमज़ोरियों के लिए विक्रेता अपडेट और शमन लागू करें। उन्हें नेटवर्क उपकरणों और अप्रत्याशित होस्ट्स से आउटबाउंड कनेक्शनों से असामान्य TLS गतिविधि की सक्रिय रूप से निगरानी करनी चाहिए। प्रक्रिया के छद्म संकेतों और नेटवर्किंग बाइनरी और वेब-फेसिंग स्क्रिप्ट में किसी भी अनधिकृत परिवर्तन या विलोपन पर नज़र रखना भी उतना ही महत्वपूर्ण है।